Los investigadores de ciberseguridad han detectado una nueva actividad de un actor de amenazas alineado con China conocido como gusano web en 2025, implementar puertas traseras personalizadas que emplean Discord y Microsoft Graph API para comunicaciones de comando y control (C2 o C&C).
Se estima que Webworm, documentado públicamente por primera vez por Symantec, propiedad de Broadcom, en septiembre de 2022, está activo desde al menos 2022, dirigido a agencias gubernamentales y empresas que abarcan los sectores de servicios de TI, aeroespacial y de energía eléctrica en Rusia, Georgia, Mongolia y varias otras naciones asiáticas.
Los ataques organizados por el grupo han aprovechado troyanos de acceso remoto (RAT) como Trochilus RAT, Gh0st RAT y 9002 RAT (también conocidos como Hydraq y McRat). Se dice que el actor de amenazas se superpone con grupos de nexo con China rastreados como FishMonger (también conocido como Aquatic Panda), SixLittleMonkeys y Space Pirates. SixLittleMonkeys es mejor conocido por implementar Gh0st RAT y un RAT llamado Mikroceen dirigido a entidades en Asia Central, Rusia, Bielorrusia y Mongolia.
«En los últimos años, ha comenzado a avanzar hacia herramientas proxy existentes y personalizadas, que son más sigilosas que las puertas traseras completas», dijo el investigador de ESET Eric Howard. «En 2025, Webworm también agregó dos nuevas puertas traseras a su conjunto de herramientas: EchoCreep, que usa Discord para la comunicación C&C, y GraphWorm, que usa Microsoft Graph API para el mismo propósito».
Detrás de estos esfuerzos está el uso de un repositorio de GitHub que se hace pasar por una bifurcación de WordPress («github(.)com/anjsdgasdf/WordPress») como base para el malware y herramientas como SoftEther VPN en un esfuerzo por mezclarse y pasar desapercibido. La dependencia de SoftEther VPN es un enfoque probado adoptado por varios grupos de hackers chinos.
En los últimos dos años, se ha observado que el adversario se aleja de las puertas traseras tradicionales hacia utilidades (semi)legítimas como los proxy SOCKS, al tiempo que se centra cada vez más en países europeos, incluidas organizaciones gubernamentales en Bélgica, Italia, Serbia, Polonia y España, y una universidad local en Sudáfrica.
El descubrimiento de EchoCreep y GraphWorm marca una expansión del arsenal de Webworm, incluso cuando Trochilus y 9002 RAT parecen haber sido abandonados por el actor de amenazas. Otras herramientas destacadas son iox y soluciones de proxy personalizadas como WormFrp, ChainWorm, SmuxProxy y WormSocket. Se ha descubierto que WormFrp recupera configuraciones de un depósito de Amazon S3 comprometido.
«Estas herramientas de proxy personalizadas no sólo son capaces de cifrar comunicaciones, sino que también admiten el encadenamiento entre múltiples hosts, tanto interna como externamente a una red», dijo ESET. «Creemos que los operadores utilizan estas herramientas junto con SoftEther VPN para cubrir mejor sus huellas y aumentar el sigilo de sus actividades».
EchoCreep admite la carga/descarga de archivos y la ejecución de comandos a través de capacidades «cmd.exe», mientras que GraphWorm es una puerta trasera más avanzada que puede generar una nueva sesión «cmd.exe», ejecutar un proceso recién creado, cargar y descargar archivos hacia y desde Microsoft OneDrive y detener su propia ejecución después de recibir una señal de los operadores.
Un análisis del canal Discord aprovechado por EchoCreep como C2 muestra que los primeros comandos se enviaron ya el 21 de marzo de 2024. En total, se enviaron 433 mensajes de Discord a través del servidor C2.
Actualmente se desconoce exactamente cómo se entregan estas puertas traseras y la vía de acceso inicial utilizada por Webworm. Sin embargo, se ha descubierto que el atacante utiliza utilidades de código abierto como dirsearch y nuclei para forzar los archivos y directorios del servidor web de la víctima con fuerza bruta y buscar vulnerabilidades en su interior.
La divulgación se produce cuando Cisco Talos arroja luz sobre una variante de BadIIS que probablemente se vende o comparte entre múltiples grupos de cibercrimen de habla china bajo un modelo de malware como servicio (MaaS) diseñado para una monetización continua. Se cree que la oferta ha estado en desarrollo desde al menos el 30 de septiembre de 2021.
El mismo autor de malware, que opera bajo el alias «lwxat», también ha puesto a disposición un conjunto de herramientas complementarias, incluidos instaladores basados en servicios, cuentagotas y mecanismos de persistencia que automatizan la implementación, garantizan la capacidad de supervivencia en los reinicios del servidor IIS y evitan la detección.
El servicio ofrece una herramienta de creación dedicada que «permite a los actores de amenazas generar archivos de configuración, personalizar cargas útiles e inyectar parámetros en los binarios de BadIIS, lo que permite capacidades que incluyen la redirección de tráfico a sitios ilícitos, proxy inverso para la manipulación de rastreadores de motores de búsqueda, secuestro de contenido e inyección de vínculos de retroceso para fraude malicioso de optimización de motores de búsqueda (SEO)», dijo el investigador de Talos, Joey Chen.